Documente Academic
Documente Profesional
Documente Cultură
Managementul riscurilor
In cadrul procesului de management al riscului, este analizat și evaluat tot spectrul de riscuri.
Evenimentele nedorite trebuie să fie analizate și evaluate din punctul de vedere al severității
(impactului) și al probabilității de apariție. Măsurile de diminuare a riscurilor vor fi analizate
și evaluate din perspectiva eficacității acestora, iar rezultatele măsurătorilor performanțelor și
a tendinței riscurilor vor fi utilizate pentru optimizarea resurselor alocate, pentru gestionarea
adecvată a riscurilor și pentru menținerea acestora în limitele de toleranță asumate de
conducerea organizației.
În cadrul procesului de management al riscurilor, informațiile referitoare la riscurile potențiale
sunt documentate și structurate, facilitându-se astfel luarea deciziilor pentru tratarea
corespunzătoare a acestora.
Rezultatul analizei și evaluarii riscurilor inerente, precum si ale riscurilor reziduale vor fi
comunicate către conducătorii organizației.
Identificarea, analiza si evaluarea riscurilor trebuie revizuită periodic sau atunci când situația
o impune: la modificarea modelului de business al organizație, la orice ajustare a structurii
organizatorice și a activităților ori a procedurilor de lucru în cadrul organizației, la schimbarea
1
tehnologiilor de procesare a informației, la modificări majore ale sistemului, în urma
aparițiilor unor incidente, în urma aplicării unor controale de risc etc.
Fiecare linie de business din cadrul unei organizații își va evalua toate categoriile de risc
relevante, înregistrându-le în registrul riscurilor. Se vor identifica toate potențialele probleme
operaționale în patru categorii: oameni, procese, sisteme/tehnologii și mediul extern,
incluzând externalizările și furnizorii externi de produse și servicii informatice și de
comunicații.
3
Structura organizației, sistemele informatice ale organizației și gestionarea
riscurilor operaționale generate de acestea
Structura organizatorică
Entitatea care face obiectul prezentului exemplu de metodologie de evaluare a riscurilor
operaționale are următoarele caracteristici:
Structura organizatorică
4
descrierea infrastructurii IT din cadrul organizației;
descrierea sistemului de disaster recovery implementat;
descrierea personalului disponibil în cadrul organizației;
analiza de riscuri și impactul acestora;
definirea liniilor directoare pentru incheierea Service Level Agreements (SLA), în
vederea asigurarii QoS (Quality of Service) atât cu furnizorii de echipamente, cât și cu
furnizorii de sisteme de comunicații;
descrierea modului de monitorizare a sistemului de disaster recovery în operarea
curentă;
definirea evenimentelor critice de tip dezastru;
definirea activităților, a pașilor și a procedurilor ce compun planul BCP (Business
Continuity Plan).
- existența unei locatii alternative de procesare a datelor
PROVIDER 1 PROVIDER 2
DataCenter / Locatie
alternativa
Router
Server
Securitate IT
(IPS/IDS/Firewall/
Antivirus)
Locatie
Disaster Recovery
Switch 1 Switch 2
Sever MAIL
Server WEB Server Baze de Date Server Online Sever Aplicatii Intranet
Aplicatie Clienti
6
Analiza și Tratarea Riscurilor. Impactul Acestora
Implementate prin Au
Indica Cresc
Da
Impactul potential asupra
afacerii
7
Documente tipărite (manuale de utilizare, manual și suport pentru instruiri,
ghiduri, licențe, contracte furnizori / clienți, comunicări, facturi, rezultate
financiare, înregistrări referitoare la personalul angajat – adrese, atestari etc.);
Software (sistemul de operare, aplicatii, utilitare etc)
Bunuri fizice (calculatoare, servere, echipamente de comunicare și securitate,
suport media magnetic, etc);
Persoane (angajați, clienți, furnizori etc.);
Servicii (disponibilitate servicii de retea, telecomunicatii, încălzire, iluminat,
alimentare cu apă, alarmare, servicii de stingerea incendiilor, etc.);
Imagine și reputatie (mijloacele de livrare a produselor sau prestare a
serviciilor, certificari existente, paginile de internet ale organizației etc.).
Pentru stabilirea valorii resurselor și a operațiunilor, s-au luat in considerare, numai resursele
informatice și operațiunile care presupun interacțiunea cu aceste resurse. S-a definit valoarea
resurselor/operațiunilor utilizand următoarea scară de valori în funcție de impactul asupra
organizației:
1 – puțin importantă;
2 – necesară;
3 – vitală;
Pentru stabilirea valorilor se analizează importanța, gradul de dependență față de
resursă/operațiune și pericolul pe care îl reprezintă pentru procesele organizației, asupra
organizației in general și asupra clienților acesteia, atunci cand informația sau resursa își
pierde integritatea, confidențialitatea și disponibilitatea.
8
Criteriile pentru evaluarea vulnerabilitatii sunt:
Grad 1 2 3
Criterii Neglijabilă Medie Mare
Descriere Există protecții sigure, Vulnerabilitatea poate fi Usor de exploatat,
testate și verificate, exploatată, există protecția este foarte
condițiile existente conduc protecții implementate, slabă, ineficace în
la concluzia că, practic, nu dar acestea nu au fost multe situații sau
poate fi exploatată aceasta testate și verificate pentru tehnic uzată moral.
vulnerabilitate. toate cazurile.
Pentru evaluarea riscurilor şi a nivelurilor asociate pentru fiecare eveniment nedorit care poate
avea impact asupra activităților desfășurate de organizație, sistemelor informatice sau a
informaţiilor se realizează matricea nivelului de risc.
PROBABILITATE
9
În cazul în care organizația utilizează o altă matrice de risc prin folosirea mai multor niveluri
de vulnerabilități și probabilități (4x4 sau 5x5) și a mai multor niveluri de risc (4 sau 5), se va
menține practica curentă.
Analiza preliminară
Persoana care identifică un risc analizează preliminar riscul identificat, procedând, pentru
documentarea procesului de evaluare, la completarea unui formular de „Alertă la risc ” -
stabilit de fiecare organizație și prezentat ca exemplu la finalul acestei secțiuni – cu
respectarea următoarelor etape:
1 descrierea nartativă a riscului, cu respectarea următoarelor reguli:
riscul este o situaţie, eveniment, care poate să apară. Riscul este o incertitudine
şi nu ceva sigur;
nu se identifică riscuri care nu afectează organizația;
problemele dificile identificate nu trebuie ignorate. Ele pot deveni riscuri în
situaţii repetitive din cadrul aceleiaşi structuri organizatorice sau pentru alte
structuri organizatorice în care astfel de riscuri nu s-au materializat;
riscurile nu trebuie definite numai prin impactul lor asupra activităților
organizației. Impactul nu este risc, ci consecinţa exploatării unei vulnerabilități;
riscurile nu se descriu prin negarea unei situații;
problemele care vor apărea cu siguranţă, nu constituie riscuri, ci certitudini;
problemele a căror apariţie este imposibilă, nu constituie riscuri, ci ficţiuni.
2 prezentarea preliminară a cauzelor, descrierea circumstanţelor şi a factorilor care
favorizează apariţia riscului;
3 analizarea preliminară a consecinţelor asupra activităților și operațiunilor, în cazul
materializării riscului.
4 evaluarea preliminara a expunerii la risc se realizează prin:
a) stabilirea valorii resursei/operațiunii, pe o scală în trei trepte, ca fiind: puțin
importantă (valoare=1), necesară (valoare=2) sau vitală (valoare=3).
b) estimarea probabilităţii de apariţie a riscului, pe o scală în trei trepte, ca fiind:
neglijabilă (valoare=1), medie (valoare=2) sau mare (valoare=3).
c) estimarea vulnerabilității sistemului informatic, pe o scală în trei trepte, ca
fiind: neglijabilă (valoare=1), medie (valoare=2) sau mare (valoare=3).
d) evaluarea preliminară a nivelului riscului, conform matricei de risc, pe o
scală cu trei trepte, ca fiind: scăzut, mediu sau mare.
10
e) evaluarea preliminară a valorii riscului se realizează prin adunarea valorii
resursei, cu valoarea probabilității și cu cea a vulnerabilității. Valoarea
maximă a riscului este 9 (3+3+3 = 9 – resursa este vitală, probabilitatea este
mare și vulnerabilitatea este mare).
Notă: Explicaţiile asociate denumirii fiecărei trepte a scalelor de măsurare a valorii
resurselor, a probabilităţii de apariţie şi a vulnerabilității pentru evaluarea riscului inerent
au fost prezentate mai sus.
5 formularea unei opinii cu privire la măsurile de tratare (controalele de risc) ce ar trebuie
întreprinse pentru a gestiona riscul în mod adecvat, astfel încât să se încadreze în
limitele de toleranță;
6 formularul “Alertă la risc” completat corespunzător este trimis coordonatorului stucturii
organizatorice.
Formular alertă la risc
ORGANIZAȚIA ------------------------------
Structura organizatoricã: ------------------------------
DETALII PRIVIND RISCUL
Descrierea riscului Categorie resursã IT: ------------------------------------------------
Denumire resursã IT: ------------------------------------------------
Amenințãri (factori de risc):
1.---------------
2. --------------
3. --------------
4. --------------
5. --------------
Vulnerabilitate (descrierea riscului): -----------------------------
-----------------------------------------------------------------------------
Evaluare valorii
resursei
1 2 3
1. neimportantã; 2. necesarã; 3. vitalã.
Evaluarea riscului Evaluarea probabilitãții de apariție
1 2 3
1. neglijabilã; 2. medie; 3. mare.
Evaluarea vulnerabilitãții (impactului)
1 2 3
1. neglijabilã; 2. medie; 3. mare.
Opinie cu privire la Tipul de rãspuns la risc (strategia adoptatã): ---------
tipul de rãspuns la risc -----------
Mãsuri de control le riscului recomandate:--------------------------
------------------------------------------------------------------------
Documentația utilizatã pentru fundamentarea riscului identificat (dacã este cazul):----------
------------------------------------------------------------------------------------------
Nume: Semnãtura: Data întocmirii:
--------------------- --------------------- zz/ll/aaaa
11
Identificarea și evaluarea riscurilor
12
grupează în variante alternative, se alege varianta cea mai avantajoasă din
perspectiva raportului cost/beneficiu.
7 Stabilește ordinea de priorităţi în tratarea riscurilor reţinute pentru gestionare, astfel
încât expunerea la riscurile reziduale să se situeze în limitele de toleranţă aprobate;
8 stabilește măsurile de control ce trebuie luate în vederea reducerii nivelelui riscurilor
(reducerea probabilității sau a impactului), termenele-limită până la care acestea
trebuie implementate, precum şi persoanele responsabile cu implementarea lor prin
elaborarea unui planul pentru implementarea măsurilor de control.
Conducerea organizației și persoana (comitetul) desemnat de aceasta cu responsabilități
pentru gestionarea riscurilor, dacă există, desfăşoară următoarele acţiuni:
1 primește formularele de “Alertă la risc” şi documentaţia aferentă pentru riscurile
semnalate către fiecare structură organizatorică;
2 transmite persoanelor responsabile cu implementarea măsurilor de control,
modificarea măsurilor sau a termenelor pentru riscurile aflate deja în faza de
implementare a măsurilor de control intern;
3 iniţial intocmeşte şi ulterior completează, ori actualizează, după caz, Registrul
Riscurilor, respectivei organizații cu datele/informaţiile despre riscurile care sunt sau
care urmează a fi gestionate la nivelul tuturor structurilor organizatorice.
Cel puţin anual sau ori de câte ori este cazul, conducătorii structurilor organizatorice asigură
analizarea stadiului implementării măsurilor de control, a eficacităţii acestora, precum şi
reevaluarea riscurilor din sfera lor de responsabilitate.
13
4 menţiuni cu privire la întocmirea/actualizarea Registrului riscurilor;
5 alte aspecte/probleme considerate relevante, în legătură cu modul în care au fost
gestionate riscurile la nivelul structurii organizatorice.
Raportul privind gestionarea și revizuirea riscurilor cuprinde, distinct, două secţiuni
referitoare la:
riscurile cu un nivel al expunerii ridicat şi foarte ridicat, care ar putea
afecta îndeplinirea obiectivelor specifice ale structurilor organizatorice;
stadiul implementării planului, la data raportării.
Conducătorul structurii organizatorice transmite conducerii organizației și persoana
(comitetul) desemnat de aceasta cu responsabilități pentru gestionarea riscurilor, dacă există,
un exemplar al raportului, în vederea:
1 întocmirii şi actualizării Registrului Riscurilor la nivelul întregii organizații, prin
agregarea datelor/informaţiilor cuprinse în Registrul riscurilor de la nivelul fiecărei
structuri organizatorice;
2 întocmirii şi actualizării profilului de risc al organizației, prin regruparea riscurilor
identificate, evaluate şi ierarhizate în raport cu mărimea deviaţiei expunerii fiecărui
risc de la toleranţa la risc;
3 întocmirii raportului privind evaluarea internă a riscurilor operaționale generate de
sistemele informatice pentru transmiterea lui către ASF, în conformitate cu prevederile
art.14 alin.(1) lit. a) din Norma ASF nr. 6/2015. În cadrul raportului se cuprinde,
distinct, o secţiune referitoare la riscurile cu un nivel al expunerii ridicat şi foarte
ridicat, care ar putea afecta îndeplinirea activitatea organizației.
În situaţia în care intervin modificări în conţinutul rapoartelor şi a registrelor de riscuri,
conducătorii structurilor organizatorice asigură transmiterea, cătreconducerea organizației, a
rapoartelor şi/sau registrelor revizuite în termenul cel mai scurt posibil, dar nu mai târziu de
15 zile de la modificarea acestora.
Pentru etapa iniţială, termenul pentru transmiterea la ASF a raportului privind evaluarea
internă a riscurilor operaționale generate de sistemele informatice este de 30 iunie 2016.
Condurătorii fiecărei structuri organizatorice analizează, cel puţin o dată pe an, limitele de
toleranţă şi, dacă este cazul, propune revizuirea acestora, cel mai târziu până la sfărşitul lunii
februarie pentru anul în curs.
Propunerile privind limitele de toleranţă revizuite se aprobă de conducerea organizației
(Consiliul de administrație, Comitetul director sau Directorul general).
Toate riscurile trebuie controlate astfel încât expunerea la risc să se încadreze în limitele de
toleranţă aprobate.
Limitele de toleranţă la risc au caracter obligatoriu pentru structurile organizatorice şi au
aplicabilitate până la o nouă revizuire a acestora.
14
Implementarea şi monitorizarea măsurilor de control al riscurilor
Anual, până la finele lunii februarie, conducătorul fiecărei structuri organizatorice, întocmeşte
Planul pentru implementarea măsurilor de control ale riscurilor, pentru anul în curs, ţinând
cont şi de:
deciziile conducerii organizației;
recomandările cu privire la măsurile de control, cuprinse în rapoartele de audit
(auditul intern, auditul IT Extern, auditul IT cu resurse interne certificate,
evaluările funcției de management al riscurilor).
După aprobare, conducătorul structurii organizatorice transmite persoanelor responsabile cu
implementarea măsurilor de control ale riscurilor, câte un exemplar al acestuia, pentru
aplicare, precum și conducerii organizației pentru includerea lor în raportul privind evaluarea
internă a riscurilor operaționale generate de sistemele informatice.
Responsabilii cu implementarea măsurilor de control informează semestrial şi ori de câte ori
este cazul, pe conducătorul structurii organizatorice, cu privire la stadiul implementării
măsurilor de control ale riscurilor, pentru analiză şi decizie.
15
Riscuri aferente proceselor:
o Riscuri de model: lipsa proceselor organizatorice (cel puţin referitoare la
managementul schimbării, al incidentelor, al problemelor, al nivelurilor de
servicii, al versionărilor, al capacităţii, al disponibilităţii și al proiectelor),
erori de metodologie sau de model, erori de evaluare, disponibilitatea
rezervelor pentru acoperirea pierderilor, complexitatea modelelor, control
inadecvat al proceselor, software neadecvate obiectivelor de activitate,
insuficienţa guvernanţei corporative în acest domeniu;
o Riscuri tranzacționale: erori de execuție, erori de înregistrare, managementul
inadecvat al datelor și informațiilor, erori de matching, compensare, colateral,
complexitatea produselor, riscuri de capacitate, riscuri de evaluare, riscuri de
confidențialitate, fraude;
o Riscuri aferente controlului operațiunilor: lipsa separării drepturilor și
atribuțiilor, depășirea limitelor, riscuri de volum, riscuri de securitate, riscuri
de raportare, riscuri de înregistrări contabile neadecvate, control inadecvat al
activităților externalizate, întreruperea furnizării serviciilor, neidentificarea
operațiunilor în speță în funcție de indicatorii de risc și variabile analitice
prestabilite.
Riscuri aferente sistemelor:
o sistem inadecvat de management al tehnologiei și securității;
o lipsa metodologiilor de dezvoltare si testare;
o capacitate insuficientă de procesare;
o întreruperi în funcționarea sistemelor (hardware, software, stocare,
telecomunicații);
o căderi de rețea;
o întreruperii în furnizarea serviciilor prestate de furnizorii externi;
o sisteme inadecvate;
o protecție inadecvată împotriva malware;
o riscuri de compatibilitate;
o riscuri generate de furnizori/vânzători;
o erori de programare;
o coruperea datelor;
o riscuri de recuperare după dezastre;
o testare necorespunzătoare a recuperării în caz de dezastru;
o sistem inadecvat de actualizare tehnologică;
o sisteme învechite;
o servicii necorespunzătoare de suport pentru sisteme.
o caderi echipamente IT
Riscuri aferente mediului extern:
o pierderi datorate evenimentelor catastrofice/dezastrelor naturale sau generate
de oameni ori factori din afara organizației;
o întreruperi în furnizarea serviciilor prestate de furnizori externi;
o fraude și activități criminale externe;
o expuneri externe ale securității sistemelor;
o atacuri teroriste clasice sau informatice;
o criminalitate economică și/sau informatică;
o căderi ale alimentarii cu electricitate.
16
2. Identificarea sistemelor informatice importante din cadrul organizatiei
În această secțiune vor fi evidențiate sistemele informatice importante, inclusiv principalele
caracteristici și versiunea în lucru la momentul evaluării.
3. Disponibilitatea sistemului
Sistemul și serviciile de protectie pentru situatii de dezastru trebuie sa asigure reducerea
riscurilor de indisponibilitate a sistemelor de productie cu o recuperare completa a
functionalitatii sistemelor informatice intr-un interval orar de ordinul orelor.
4. Toleranta la dezastru
Toleranta la dezastru este asigurata prin tehnologia si serviciile cu grad inalt de disponibilitate
care determina continuarea operarii aplicatiilor critice in cazul unui dezastru – in cadrul
sistemelor organizatiei aceasta toleranta trebuie sa fie mare pentru garantarea continuitatii
operationale.
17
Exemplul de evaluare internă a riscurilor operaționale generate de sistemele informatice (registrul riscurilor operaționale IT)
18
Operatiuni
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Lipsa verificarilor eficace. Lipsa principiului
activitati informatice importante / Alte 3 Frauda interna celor patru ochi. Management impropriu al 1 3 7 Anexa 1
operatiuni sisteme informatice drepturilor de acces in aplicatie.
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme nerespectarea proceselor, Lipsa unor instrumente de control pentru situatia
activitati informatice importante / Alte 3 procedurilor sau a instrucțiunilor in care conducerea executiva nu respecta 1 3 7 Anexa 1
operatiuni sisteme informatice de lucru procesele si procedurile de lucru
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Implementarea unor controale insuficiente sau
activitati informatice importante / Alte 3 Automulțumire 1 3 7 Anexa 1
ineficiente.
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme operațiuni suspecte de spălarea
Lipsa filtrelor eficiente pentru tranzactiile
activitati informatice importante / Alte 3 banilor și finanțarea actelor de 1 3 7 Anexa 1
suspecte.
operatiuni sisteme informatice terorism
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Lipsa filtrelor eficiente pentru tranzactiile
nerespectarea regimului de
activitati informatice importante / Alte 3
sancțiuni internaționale
suspecte. Neaducerea la zi a noutatilor cu privire 1 3 7 Anexa 1
operatiuni sisteme informatice la sanctiunile internationale
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Lipsa verificarilor eficace. Lipsa principiului
activitati informatice importante / Alte 3 Frauda interna celor patru ochi. Management impropriu al 1 3 7 Anexa 1
operatiuni sisteme informatice drepturilor de acces in aplicatie.
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Vanzarea de produse Functionarea defectuoasa a sistemelor de front
activitati informatice importante / Alte 3 necorespunzatoare clientilor office. Incadrarea defectuoasa in categoriile de 1 3 7 Anexa 1
operatiuni sisteme informatice respectivi risc pentru clientii noi.
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme modificarea informațiilor sau a
Raportarea eronata catre autoritatile de
activitati informatice importante / Alte 3 datelor din rapoarte, fără 1 3 7 Anexa 1
supraveghere
operatiuni sisteme informatice documentarea adecvată
importante
19
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme erori de introducere manuală sau
cunostinte si pregătire insuficiente a
activitati informatice importante / Alte 3 de utilizare neadecvată a 1 3 7 Anexa 1
personalului financiar contabil
operatiuni sisteme informatice sistemelor informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Stergerea accidentala a cunostinte si pregătire insuficiente a
activitati informatice importante / Alte 3 informatiilor stocate in bazele de personalului financiar contabil. Management 1 3 7 Anexa 1
operatiuni sisteme informatice date impropriu al drepturilor de acces in aplicatie
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
activitati informatice importante / Alte 3 Erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
activitati informatice importante / Alte 3 Erori de procesare Procesarea eronata a documentelor justificative 1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
activitati informatice importante / Alte 3 Erori de plata Plata eronata a unor sume de bani 1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme erori de introducere manuală sau
activitati informatice importante / Alte 3 de utilizare neadecvată a Procesarea eronata a unor operatiuni 1 3 7 Anexa 1
operatiuni sisteme informatice sistemelor informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Lipsa verificarilor eficace. Lipsa principiului
activitati informatice importante / Alte 3 Frauda interna celor patru ochi. Management impropriu al 1 3 7 Anexa 1
operatiuni sisteme informatice drepturilor de acces in aplicatie.
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Inexistenta unui back-up pentru persoanele cheie
activitati informatice importante / Alte 3 dependența de angajați cheie 1 3 7 Anexa 1
din companie. Proceduri de recrutare ineficiente.
operatiuni sisteme informatice
importante
Personal si Sistem operatiuni / Stație de
activitati lucru / bază de date / sisteme 3 Personal insuficient 1 3 7 Anexa 1
operatiuni informatice importante / Alte
20
sisteme informatice
importante
Sistem operatiuni / Stație de
lipsa unei delimitări clare între
Personal si lucru / bază de date / sisteme
rolurile persoanelor care
activitati informatice importante / Alte 3
accesează/administrează/dezvoltă
Proceduri de lucru neclare sau nepuse in aplicare 1 3 7 Anexa 1
operatiuni sisteme informatice
sistemele informatice
importante
Sistem operatiuni / Stație de conflict de interese între
Personal si lucru / bază de date / sisteme personalul care dezvoltă și cel Inexistenta unor proceduri privind gestiunea
activitati informatice importante / Alte 3 care administrează sistemele conflictelor de interesa sau nepunerea in aplicare 1 3 7 Anexa 1
operatiuni sisteme informatice informatice ori între utilizatorii a acesteia
importante acestora
Sistem operatiuni / Stație de
cunostințe, experiență și
Personal si lucru / bază de date / sisteme
pregătire insuficientă a Buget de training insuficient. Lipsa implicarii
activitati informatice importante / Alte 3
personalului care utilizează sau managementului in acest aspect.
1 3 7 Anexa 1
operatiuni sisteme informatice
deservește sistemele informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Alterarea datelor din sistemele informatice, fara
activitati informatice importante / Alte 3 alterarea datelor posibilitatea identificarii autorului si a 1 3 7 Anexa 1
operatiuni sisteme informatice informatiilor initiale
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme nerespectarea proceselor,
Procese organizatorice, proceduri si instructiuni
activitati informatice importante / Alte 3 procedurilor sau a instrucțiunilor 2 3 8 Anexa 1
de lucru neimplementate sau inexistente
operatiuni sisteme informatice de lucru
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Lipsă de comunicare și cooperare Necomunicarea la timp a unor informatii critice
activitati informatice importante / Alte 3
între angajați de la un departament catre altul
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Proceduri de recrutare ineficiente. Buget de
activitati informatice importante / Alte 3 Personal insuficient resurse umane insuficient. Evaluarea eronata e 1 3 7 Anexa 1
operatiuni sisteme informatice necesarului de personal
importante
Financiar - contabilitate
Personalul si Sistem financiar contabil /
modificarea informațiilor sau a
activitati Stație de lucru / bază de date / Raportarea eronata catre autoritatile de
2 datelor din rapoarte, fără 1 3 6 Anexa 1
financiar sisteme informatice supraveghere
documentarea adecvată
contabile importante / Alte sisteme
21
informatice importante
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date / erori de introducere manuală sau
activitati cunostinte si pregătire insuficiente a
sisteme informatice 2 de utilizare neadecvată a 1 3 6 Anexa 1
financiar personalului financiar contabil
importante / Alte sisteme sistemelor informatice
contabile
informatice importante
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date / Stergerea accidentala a cunostinte si pregătire insuficiente a
activitati
financiar
sisteme informatice 2 informatiilor stocate in bazele de personalului financiar contabil. Management 1 3 6 Anexa 1
importante / Alte sisteme date impropriu al drepturilor de acces in aplicatie
contabile
informatice importante
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date /
activitati
financiar
sisteme informatice 2 Erori de evaluare Evaluarea eronata a activelor societatii 1 3 6 Anexa 1
importante / Alte sisteme
contabile
informatice importante
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date /
activitati
financiar
sisteme informatice 2 Erori de procesare Procesarea eronata a documentelor justificative 1 3 6 Anexa 1
importante / Alte sisteme
contabile
informatice importante
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date /
activitati
financiar
sisteme informatice 2 Erori de plata Plata eronata a unor sume de bani 1 3 6 Anexa 1
importante / Alte sisteme
contabile
informatice importante
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date / erori de introducere manuală sau
activitati
sisteme informatice 2 de utilizare neadecvată a Procesarea eronata a unor operatiuni 1 3 6 Anexa 1
financiar
importante / Alte sisteme sistemelor informatice
contabile
informatice importante
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date / Lipsa verificarilor eficace. Lipsa principiului
activitati
financiar
sisteme informatice 2 Frauda interna celor patru ochi. Management impropriu al 1 3 6 Anexa 1
importante / Alte sisteme drepturilor de acces in aplicatie.
contabile
informatice importante
Functii cheie ale entitatii
Sistem cheie / Stație de lucru /
Functii cheie bază de date / sisteme
Inexistenta unui back-up pentru persoanele cheie
si activitati informatice importante / Alte 3 dependența de angajați cheie 1 3 7 Anexa 1
din companie. Proceduri de recrutare ineficiente.
aferente sisteme informatice
importante
22
Sistem cheie / Stație de lucru /
Functii cheie bază de date / sisteme
si activitati informatice importante / Alte 3 Personal insuficient 1 3 7 Anexa 1
aferente sisteme informatice
importante
Tehnologia informatiei
lipsa unei delimitări clare între
Stație de lucru / bază de date /
Personal si rolurile persoanelor care
sisteme IT
sisteme informatice 2
accesează/administrează/dezvoltă
Proceduri de lucru neclare sau nepuse in aplicare 1 3 6 Anexa 1
importante
sistemele informatice
conflict de interese între
Stație de lucru / bază de date / personalul care dezvoltă și cel Inexistenta unor proceduri privind gestiunea
Personal si
sisteme informatice 2 care administrează sistemele conflictelor de interesa sau nepunerea in aplicare 1 3 6 Anexa 1
sisteme IT
importante informatice ori între utilizatorii a acesteia
acestora
cunostințe, experiență și
Stație de lucru / bază de date /
Personal si pregătire insuficientă a Buget de training insuficient. Lipsa implicarii
sisteme IT
sisteme informatice 2
personalului care utilizează sau managementului in acest aspect.
1 3 6 Anexa 1
importante
deservește sistemele informatice
Stație de lucru / bază de date / Alterarea datelor din sistemele informatice, fara
Personal si
sisteme IT
sisteme informatice 2 alterarea datelor posibilitatea identificarii autorului si a 1 3 6 Anexa 1
importante informatiilor initiale
Stație de lucru / bază de date / nerespectarea proceselor,
Personal si Procese organizatorice, proceduri si instructiuni
sisteme informatice 2 procedurilor sau a instrucțiunilor 2 3 7 Anexa 1
sisteme IT de lucru neimplementate sau inexistente
importante de lucru
Stație de lucru / bază de date /
Personal si Lipsă de comunicare și cooperare Necomunicarea la timp a unor informatii critice
sisteme IT
sisteme informatice 2
între angajați de la un departament catre altul
1 3 6 Anexa 1
importante
Suport
Functii suport Proceduri de recrutare ineficiente. Buget de
si activitati Stație de lucru / bază de date 1 Personal insuficient resurse umane insuficient. Evaluarea eronata e 1 3 5 Anexa 1
aferente necesarului de personal
Categoria 2 - riscuri operaționale PROCESE
Conducerea executivă
Conducerea Procese organizatorice neimplementate sau
Stație de lucru / bază de date 3 lipsa proceselor organizatorice 2 3 8 Anexa 1
societatii inexistente
Controlul efectuat de personal necorespunzator.
Conducerea
Stație de lucru / bază de date 3 control inadecvat al proceselor Neefectuarea controalelor conform cerintelor 1 3 7 Anexa 1
societatii
interne
Conducerea insuficienţa guvernanţei Inexistenta strategiei privind guvernanta
Stație de lucru / bază de date 3 1 3 7 Anexa 1
societatii corporative corporativa. Mecanisme de guvernanta
23
corporativa necorespunzatoare
Relatia cu clientii
Personal si Vanzarea de produse Functionarea defectuoasa a sistemelor de front
activitati Sistem front-office 3 necorespunzatoare clientilor office. Incadrarea defectuoasa in categoriile de 1 3 7 Anexa 1
front-office respectivi risc pentru clientii noi.
Sistem front-office / Stație de
Personal si lucru / bază de date / sisteme erori de introducere manuală sau
cunostinte si pregătire insuficiente a
activitati informatice importante / Alte 3 de utilizare neadecvată a 1 3 7 Anexa 1
personalului financiar contabil
front-office sisteme informatice sistemelor informatice
importante
Sistem front-office / Stație de
Personal si lucru / bază de date / sisteme Stergerea accidentala a cunostinte si pregătire insuficiente a
activitati informatice importante / Alte 3 informatiilor stocate in bazele de personalului financiar contabil. Management 1 3 7 Anexa 1
front-office sisteme informatice date impropriu al drepturilor de acces in aplicatie
importante
Operatiuni
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Tranzactionarea efectuata de catre personal
lipsa separării drepturilor și
activitati informatice importante / Alte 3
atribuțiilor
necalificat sau fara atributii in domeniul 1 3 7 Anexa 1
operatiuni sisteme informatice respectiv
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Tranzactionarea eronata a unor instrumente
activitati informatice importante / Alte 3 depășirea limitelor 1 3 7 Anexa 1
financiare
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Tranzactionarea eronata a unor instrumente
activitati informatice importante / Alte 3 riscuri de volum
financiare
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Alterarea datelor din sistemele informatice, fara
activitati informatice importante / Alte 3 riscuri de securitate posibilitatea identificarii autorului si a 1 3 7 Anexa 1
operatiuni sisteme informatice informatiilor initiale
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Raportarea eronata catre autoritatile de
activitati informatice importante / Alte 3 riscuri de raportare
supraveghere
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
24
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
riscuri de înregistrări contabile Procesarea eronata a tranzactiilor cu instrumente
activitati informatice importante / Alte 3
neadecvate financiare
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
control inadecvat al activităților Lipsa unor controale interne cu privire la
activitati informatice importante / Alte 3
externalizate activitati critice
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Un sistem informatic critic nu poate fi accesat
activitati informatice importante / Alte 3 întreruperea furnizării serviciilor 1 3 7 Anexa 1
pentru o lunga perioada de timp
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
neidentificarea operațiunilor în
Personal si lucru / bază de date / sisteme Neidentificarea indicatorilor de risc.
speță în funcție de indicatorii de
activitati informatice importante / Alte 3
risc și variabile analitice
Parametrizarea necorespunzatoare a variabilelor 1 3 7 Anexa 1
operatiuni sisteme informatice analitice prestabilite.
prestabilite
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Procese organizatorice neimplementate sau
activitati informatice importante / Alte 3 lipsa proceselor organizatorice
inexistente
2 3 8 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Controlul efectuat de personal necorespunzator.
activitati informatice importante / Alte 3 control inadecvat al proceselor Neefectuarea controalelor conform cerintelor 1 3 7 Anexa 1
operatiuni sisteme informatice interne
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Inexistenta strategiei privind guvernanta
insuficienţa guvernanţei
activitati informatice importante / Alte 3
corporative
corporativa. Mecanisme de guvernanta 1 3 7 Anexa 1
operatiuni sisteme informatice corporativa necorespunzatoare
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Vanzarea de produse Functionarea defectuoasa a sistemelor de front
activitati informatice importante / Alte 3 necorespunzatoare clientilor office. Incadrarea defectuoasa in categoriile de 1 3 7 Anexa 1
operatiuni sisteme informatice respectivi risc pentru clientii noi.
importante
Personal si Sistem operatiuni / Stație de
activitati lucru / bază de date / sisteme 3 erori de execuție Executarea eronata a unor operatiuni contabile 1 3 7 Anexa 1
operatiuni informatice importante / Alte
25
sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Inregistrarea eronata a unor operatiuni
activitati informatice importante / Alte 3 erori de înregistrare
economice
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
managementul inadecvat al Neasigurarea caracteristicilor informatiilor
activitati informatice importante / Alte 3
datelor și informațiilor (consistenta, durabilitate)
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Matching eronat datorat sistemelor informatice
Personal si lucru / bază de date / sisteme
erori de matching, compensare și utilizate. Erori in cadrul procesului de
activitati informatice importante / Alte 3
colateral compensare. Erori in cadrul procesului de
1 3 7 Anexa 1
operatiuni sisteme informatice
adecvare a colateralului clientilor
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Erori cauzate de neintelegerea naturii economice
activitati informatice importante / Alte 3 complexitatea produselor
de la baza unor produse financiare complexe
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Capacitate insuficienta a bazelor de date de a
Personal si lucru / bază de date / sisteme
prelua informatiile. Capacitate insuficienta de
activitati informatice importante / Alte 3 riscuri de capacitate
personal de a gestiona volumul operatiunilor
1 3 7 Anexa 1
operatiuni sisteme informatice
financiare
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
activitati informatice importante / Alte 3 riscuri de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Divulgarea de informatii sensibile catre mediul
activitati informatice importante / Alte 3 riscuri de confidențialitate 1 3 7 Anexa 1
exterior. Furt de date cu caracter personal
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Fraude cauzate de personal financiar contabil cu
activitati informatice importante / Alte 3 fraude
acces la multiple sisteme si niveluri informatice.
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
26
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
erori de metodologie sau de
activitati informatice importante / Alte 3
model
Definirea gresita a modelelor econometrice 1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
activitati informatice importante / Alte 3 erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Rezerve insuficiente pentru acoperirea
disponibilitatea rezervelor pentru
activitati informatice importante / Alte 3
acoperirea pierderilor
pierderilor operationale. Lichiditate insuficienta 1 3 7 Anexa 1
operatiuni sisteme informatice a activelor din rezerve
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Erori cauzate de neintelegerea naturii economice
activitati informatice importante / Alte 3 complexitatea modelelor
de la baza unor produse financiare complexe
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Sofware fara functiile critice necesare. Software
Personal si lucru / bază de date / sisteme
software neadecvate obiectivelor cu o viteza redusa de procesare, sau cu o
activitati informatice importante / Alte 3
de activitate capacitate insuficienta de procesare a
1 3 7 Anexa 1
operatiuni sisteme informatice
informatiilor.
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Proceduri de recrutare ineficiente. Buget de
activitati informatice importante / Alte 3 Personal insuficient resurse umane insuficient. Evaluarea eronata e 1 3 7 Anexa 1
operatiuni sisteme informatice necesarului de personal
importante
Financiar - contabilitate
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date /
activitati
sisteme informatice 2 erori de execuție Executarea eronata a unor operatiuni contabile 1 3 6 Anexa 1
financiar
importante / Alte sisteme
contabile
informatice importante
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date /
activitati Inregistrarea eronata a unor operatiuni
financiar
sisteme informatice 2 erori de înregistrare
economice
1 3 6 Anexa 1
importante / Alte sisteme
contabile
informatice importante
27
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date /
activitati managementul inadecvat al Neasigurarea caracteristicilor informatiilor
financiar
sisteme informatice 2
datelor și informațiilor (consistenta, durabilitate)
1 3 6 Anexa 1
importante / Alte sisteme
contabile
informatice importante
Sistem financiar contabil /
Personalul si Matching eronat datorat sistemelor informatice
Stație de lucru / bază de date /
activitati erori de matching, compensare și utilizate. Erori in cadrul procesului de
financiar
sisteme informatice 2
colateral compensare. Erori in cadrul procesului de
1 3 6 Anexa 1
importante / Alte sisteme
contabile adecvare a colateralului clientilor
informatice importante
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date /
activitati Erori cauzate de neintelegerea naturii economice
financiar
sisteme informatice 2 complexitatea produselor
de la baza unor produse financiare complexe
1 3 6 Anexa 1
importante / Alte sisteme
contabile
informatice importante
Sistem financiar contabil /
Personalul si Capacitate insuficienta a bazelor de date de a
Stație de lucru / bază de date /
activitati prelua informatiile. Capacitate insuficienta de
financiar
sisteme informatice 2 riscuri de capacitate
personal de a gestiona volumul operatiunilor
1 3 6 Anexa 1
importante / Alte sisteme
contabile financiare
informatice importante
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date /
activitati
financiar
sisteme informatice 2 riscuri de evaluare Evaluarea eronata a activelor societatii 1 3 6 Anexa 1
importante / Alte sisteme
contabile
informatice importante
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date /
activitati Divulgarea de informatii sensibile catre mediul
sisteme informatice 2 riscuri de confidențialitate 1 3 6 Anexa 1
financiar exterior. Furt de date cu caracter personal
importante / Alte sisteme
contabile
informatice importante
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date /
activitati Fraude cauzate de personal financiar contabil cu
financiar
sisteme informatice 2 fraude
acces la multiple sisteme si niveluri informatice.
1 3 6 Anexa 1
importante / Alte sisteme
contabile
informatice importante
Functii cheie ale entitatii
Sistem cheie / Stație de lucru /
Functii cheie bază de date / sisteme
erori de metodologie sau de
si activitati informatice importante / Alte 3
model
Definirea gresita a modelelor econometrice 1 3 7 Anexa 1
aferente sisteme informatice
importante
28
Sistem cheie / Stație de lucru /
Functii cheie bază de date / sisteme
si activitati informatice importante / Alte 3 erori de evaluare Evaluarea eronata a activelor societatii 1 3 7 Anexa 1
aferente sisteme informatice
importante
Sistem cheie / Stație de lucru /
Functii cheie bază de date / sisteme Rezerve insuficiente pentru acoperirea
disponibilitatea rezervelor pentru
si activitati informatice importante / Alte 3
acoperirea pierderilor
pierderilor operationale. Lichiditate insuficienta 1 3 7 Anexa 1
aferente sisteme informatice a activelor din rezerve
importante
Sistem cheie / Stație de lucru /
Functii cheie bază de date / sisteme
Erori cauzate de neintelegerea naturii economice
si activitati informatice importante / Alte 3 complexitatea modelelor
de la baza unor produse financiare complexe
1 3 7 Anexa 1
aferente sisteme informatice
importante
Tehnologia informatiei
Sofware fara functiile critice necesare. Software
Stație de lucru / bază de date /
Personal si software neadecvate obiectivelor cu o viteza redusa de procesare, sau cu o
sisteme IT
sisteme informatice 2
de activitate capacitate insuficienta de procesare a
1 3 6 Anexa 1
importante
informatiilor.
Suport
Functii suport Proceduri de recrutare ineficiente. Buget de
si activitati Stație de lucru / bază de date 1 Personal insuficient resurse umane insuficient. Evaluarea eronata e 1 3 5 Anexa 1
aferente necesarului de personal
Categoria 3 - riscuri operaționale SISTEME
Conducerea executivă
Sisteme care nu asigura functiile critice
Conducerea sistem inadecvat de management
Stație de lucru / bază de date 2 necesare. Inexistenta procedurilor de backup. 1 3 6 Anexa 1
societatii al tehnologiei și securității
Operabilitate redusa a sistemelor.
Relatia cu clientii
Personal si
Sisteme care nu asigura functiile critice
activitati Sistem front-office 2 sisteme inadecvate
necesare. Operabilitate redusa a sistemelor.
1 3 6 Anexa 1
front-office
Sistem front-office / Stație de
Personal si lucru / bază de date / sisteme erori de introducere manuală sau
cunostinte si pregătire insuficiente a
activitati informatice importante / Alte 2 de utilizare neadecvată a 1 3 6 Anexa 1
personalului financiar contabil
front-office sisteme informatice sistemelor informatice
importante
Personal si Sistem front-office / Stație de Stergerea accidentala a cunostinte si pregătire insuficiente a
activitati lucru / bază de date / sisteme
2
informatiilor stocate in bazele de personalului financiar contabil. Management
1 3 6 Anexa 1
29
front-office informatice importante / Alte date impropriu al drepturilor de acces in aplicatie
sisteme informatice
importante
Operatiuni
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Sisteme care nu asigura functiile critice
sistem inadecvat de management
activitati informatice importante / Alte 3
al tehnologiei și securității
necesare. Inexistenta procedurilor de backup. 1 3 7 Anexa 1
operatiuni sisteme informatice Operabilitate redusa a sistemelor.
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Sisteme care nu asigura functiile critice
activitati informatice importante / Alte 3 sisteme inadecvate
necesare. Operabilitate redusa a sistemelor.
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Prezenta datelor invalide, sau a datelor ce nu pot
activitati informatice importante / Alte 3 coruperea datelor
fi accesate de către utilizatori
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Capacitate insuficienta a bazelor de date de a
Personal si lucru / bază de date / sisteme
capacitate insuficientă de prelua informatiile. Capacitate insuficienta de
activitati informatice importante / Alte 3
procesare personal de a gestiona volumul operatiunilor
1 3 7 Anexa 1
operatiuni sisteme informatice
financiare
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme întreruperi în funcționarea Lipsa sistemelor de back-up pentru energie
activitati informatice importante / Alte 3 sistemelor (hardware, software, electrica sau a liniilor secundare de 1 3 7 Anexa 1
operatiuni sisteme informatice stocare, telecomunicații) telecomunicatii
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Inexistenta sistemelor de backup
activitati informatice importante / Alte 3 căderi de rețea 1 3 7 Anexa 1
corespunzatoare
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme întreruperii în furnizarea
Neraportarea incidentului către furnizor in timp
activitati informatice importante / Alte 3 serviciilor prestate de furnizorii
util.
1 3 7 Anexa 1
operatiuni sisteme informatice externi
importante
Personal si Sistem operatiuni / Stație de
protecție inadecvată împotriva
activitati lucru / bază de date / sisteme 3 Sisteme critice importante afectate de malware 1 3 7 Anexa 1
malware
operatiuni informatice importante / Alte
30
sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Incapacitatea de a utiliza informatii sau fisiere
activitati informatice importante / Alte 3 riscuri de compatibilitate necompatibile cu noile versiuni ale programelor 1 3 7 Anexa 1
operatiuni sisteme informatice software
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Lipsa sistemelor de back-up pentru energie
riscuri generate de
activitati informatice importante / Alte 3
furnizori/vânzători
electrica sau a liniilor secundare de 1 3 7 Anexa 1
operatiuni sisteme informatice telecomunicatii
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Buguri, posibile brese de securitate, procesare
activitati informatice importante / Alte 3 erori de programare
inceata a datelor, baze de date instabile.
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
riscuri de recuperare după Plan BCP necorespunzator sau necunoscut de
activitati informatice importante / Alte 3
dezastre catre angajati. Locatie secundara improprie.
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
testare necorespunzătoare a Locatie secundara improprie. Testarea
activitati informatice importante / Alte 3
recuperării în caz de dezastru neefectuata la timp, sau efectuata partial
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
sistem inadecvat de actualizare Pierderi sau coruperea informatiilor existente.
activitati informatice importante / Alte 3
tehnologică Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Pierderi sau coruperea informatiilor existente.
activitati informatice importante / Alte 3 sisteme învechite
Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Dezvoltare improprie a sistemelor informatice.
lipsa metodologiilor de
activitati informatice importante / Alte 3
dezvoltare si testare
Testare ce nu tine cont de specificatiile de 1 3 7 Anexa 1
operatiuni sisteme informatice business
importante
31
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Neconformitatea cu reglementarile legale
servicii necorespunzătoare de
activitati informatice importante / Alte 3
suport pentru sisteme
respective (resurse umane, PSI, autorizari / 1 3 7 Anexa 1
operatiuni sisteme informatice avizari autoritati locale)
importante
Financiar - contabilitate
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date /
activitati Prezenta datelor invalide, sau a datelor ce nu pot
financiar
sisteme informatice 2 coruperea datelor
fi accesate de către utilizatori
1 3 6 Anexa 1
importante / Alte sisteme
contabile
informatice importante
Functii cheie ale entitatii
Sistem cheie / Stație de lucru /
Capacitate insuficienta a bazelor de date de a
Functii cheie bază de date / sisteme
capacitate insuficientă de prelua informatiile. Capacitate insuficienta de
si activitati informatice importante / Alte 2
procesare personal de a gestiona volumul operatiunilor
1 3 6 Anexa 1
aferente sisteme informatice
financiare
importante
Tehnologia informatiei
Stație de lucru / bază de date / întreruperi în funcționarea Lipsa sistemelor de back-up pentru energie
Personal si
sisteme IT
sisteme informatice 3 sistemelor (hardware, software, electrica sau a liniilor secundare de 1 3 7 Anexa 1
importante stocare, telecomunicații) telecomunicatii
Stație de lucru / bază de date /
Personal si Inexistenta sistemelor de backup
sisteme informatice 3 căderi de rețea 1 3 7 Anexa 1
sisteme IT corespunzatoare
importante
Stație de lucru / bază de date / întreruperii în furnizarea
Personal si Neraportarea incidentului către furnizor in timp
sisteme IT
sisteme informatice 3 serviciilor prestate de furnizorii
util.
1 3 7 Anexa 1
importante externi
Stație de lucru / bază de date /
Personal si protecție inadecvată împotriva
sisteme IT
sisteme informatice 3
malware
Sisteme critice importante afectate de malware 1 3 7 Anexa 1
importante
Stație de lucru / bază de date / Incapacitatea de a utiliza informatii sau fisiere
Personal si
sisteme IT
sisteme informatice 3 riscuri de compatibilitate necompatibile cu noile versiuni ale programelor 1 3 7 Anexa 1
importante software
Stație de lucru / bază de date / Lipsa sistemelor de back-up pentru energie
Personal si riscuri generate de
sisteme IT
sisteme informatice 3
furnizori/vânzători
electrica sau a liniilor secundare de 1 3 7 Anexa 1
importante telecomunicatii
Stație de lucru / bază de date /
Personal si Buguri, posibile brese de securitate, procesare
sisteme IT
sisteme informatice 3 erori de programare
inceata a datelor, baze de date instabile.
1 3 7 Anexa 1
importante
Personal si Stație de lucru / bază de date / riscuri de recuperare după Plan BCP necorespunzator sau necunoscut de
sisteme IT sisteme informatice
3
dezastre catre angajati. Locatie secundara improprie.
1 3 7 Anexa 1
32
importante
Stație de lucru / bază de date /
Personal si testare necorespunzătoare a Locatie secundara improprie. Testarea
sisteme IT
sisteme informatice 3
recuperării în caz de dezastru neefectuata la timp, sau efectuata partial
1 3 7 Anexa 1
importante
Stație de lucru / bază de date /
Personal si sistem inadecvat de actualizare Pierderi sau coruperea informatiilor existente.
sisteme IT
sisteme informatice 3
tehnologică Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
importante
Stație de lucru / bază de date /
Personal si Pierderi sau coruperea informatiilor existente.
sisteme IT
sisteme informatice 3 sisteme învechite
Atacuri cibernetice asupra sistemelor critice
1 3 7 Anexa 1
importante
Stație de lucru / bază de date / Dezvoltare improprie a sistemelor informatice.
Personal si lipsa metodologiilor de
sisteme IT
sisteme informatice 3
dezvoltare si testare
Testare ce nu tine cont de specificatiile de 1 3 7 Anexa 1
importante business
Administrare defectuasa Lipsa sistem automat de detectie si stingere a
Personal si Router Incendiu incediilor
sisteme IT (Model , Serie)
3
Cutremur Lipsa sistem supraveghere video
2 3 8 Anexa 1
Inundatie Defectiune hardware
Administrare defectuasa Lipsa sistem automat de detectie si stingere a
Personal si Incendiu incediilor
sisteme IT
IPS / IDS (Model , Serie) 3
Cutremur Lipsa sistem supraveghere video
2 3 8 Anexa 1
Inundatie Defectiune hardware
Administrare defectuasa Lipsa sistem automat de detectie si stingere a
Personal si Incendiu incediilor
sisteme IT
Switch 1,2 (Model, Serie) 3
Cutremur Lipsa sistem supraveghere video
2 3 8 Anexa 1
Inundatie Defectiune hardware
Administrare defectuasa Lipsa sistem automat de detectie si stingere a
Personal si Incendiu incediilor
sisteme IT
Server Mail (Model, Serie) 3
Cutremur Lipsa sistem supraveghere video
2 3 8 Anexa 1
Inundatie Defectiune hardware
Administrare defectuasa Lipsa sistem automat de detectie si stingere a
Personal si Server Backup Incendiu incediilor
sisteme IT (Model, Serie)
3
Cutremur Lipsa sistem supraveghere video
2 3 8 Anexa 1
Inundatie Defectiune hardware
Administrare defectuasa Lipsa sistem automat de detectie si stingere a
Personal si Server Web Incendiu incediilor
sisteme IT (Model, Serie)
3
Cutremur Lipsa sistem supraveghere video
2 3 8 Anexa 1
Inundatie Defectiune hardware
Administrare defectuasa Lipsa sistem automat de detectie si stingere a
Personal si Server BD Incendiu incediilor
sisteme IT (Model, Serie)
3
Cutremur Lipsa sistem supraveghere video
2 3 8 Anexa 1
Inundatie Defectiune hardware
Personal si Server Aplicatie Online Administrare defectuasa Lipsa sistem automat de detectie si stingere a
sisteme IT Clienti
3
Incendiu incediilor
2 3 8 Anexa 1
33
(Model, Serie) Cutremur Lipsa sistem supraveghere video
Inundatie Defectiune hardware
Administrare defectuasa Lipsa sistem automat de detectie si stingere a
Personal si Sever Aplicatii Intranet Incendiu incediilor
sisteme IT (Model, Serie)
3
Cutremur Lipsa sistem supraveghere video
2 3 8 Anexa 1
Inundatie Defectiune hardware
N/A
Personal si Echipament1 locatie DR
sisteme IT (Model, Serie)
3 Echipament hostat intr-o locatie Defectiune hardware 1 1 5 N/A
alternativa – DataCenter
N/A
Personal si Echipament2 locatie DR
sisteme IT (Model, Serie)
3 Echipament hostat intr-o locatie Defectiune hardware 1 1 5 N/A
alternativa – DataCenter
Lipsa sistem automat de detectie si stingere a
Incendiu
Personal si incediilor
sisteme IT
Imprimante, scanere 3 Cutremur
Lipsa sistem supraveghere video
1 3 7 Anexa 1
Inundatie
Defectiune hardware
Lipsa sistem automat de detectie si stingere a
Incendiu
Personal si incediilor
sisteme IT
Echipament desktop 3 Cutremur
Lipsa sistem supraveghere video
1 3 7 Anexa 1
Inundatie
Defectiune hardware
Vulnerabilitati software
Erori de programare Lipsa testari periodice
Personal si Acces neautorizat Neaplicarea la timp a update-urilor necesare
sisteme IT
Aplicatie online clienti 3
Modificări neautorizate ale Pregătire de specialitate necorespunză-toare a
2 3 8 Anexa 1
software-ului sau datelor personalului.
Erori de programare
Vulnerabilitati software
Erori de programare
Personal si Acces neautorizat Lipsa testari periodice
sisteme IT
Aplicatie contabilitate 3
Modificări neautorizate ale Neaplicarea la timp a update-urilor necesare
2 3 8 Anexa 1
software-ului sau datelor
Erori de operare
Vulnerabilitati software
Lipsa testari periodice
Erori de programare
Neaplicarea la timp a update-urilor necesare
Personal si Acces neautorizat
sisteme IT
Aplicatie Intranet 3
Modificări neautorizate ale
2 2 7 Anexa 1
Pregătire de specialitate necorespunză-toare a
software-ului sau datelor
personalului.
Erori de programare
Vulnerabilitati software
Personal si Solutie securitate IT Lipsa testari periodice
sisteme IT (antivirus, firewall, etc)
3 Erori de programare
Neaplicarea la timp a update-urilor necesare
3 3 9 Anexa 1
Acces neautorizat
Personal si Vulnerabilitati software. Acces Neaplicarea la timp a update-urilor necesare
sisteme IT
Licente Sistem Operare 1 3
neautorizat
2 3 8 Anexa 1
34
Configurarea necorespunzătoare a funcţiilor de
securitate ale sistemelor de operare
Personal si Acces neautorizat Lipsa filtru software
sisteme IT
Contracte 3
Dezvaluire informatii Continut trafic utilizatori
2 3 8 Anexa 1
Personal si Acces neautorizat Lipsa filtru software
sisteme IT
Corespondenta 3
Dezvaluire informatii Continut trafic utilizatori
2 3 8 Anexa 1
Personal si Acces neautorizat Lipsa filtru software
sisteme IT
Arhiva date 3
Dezvaluire informatii Continut trafic utilizatori
2 3 8 Anexa 1
Personal si Acces neautorizat Lipsa filtru software
sisteme IT
Declaratii 3
Dezvaluire informatii Continut trafic utilizatori
2 3 8 Anexa 1
Personal si Acces neautorizat Lipsa filtru software
sisteme IT
Dosare personal 3
Dezvaluire informatii Continut trafic utilizatori
2 3 8 Anexa 1
Personal si Acces neautorizat Lipsa filtru software
sisteme IT
Decizii 3
Dezvaluire informatii Continut trafic utilizatori
2 3 8 Anexa 1
Suport
Functii suport Neconformitatea cu reglementarile legale
servicii necorespunzătoare de
si activitati Stație de lucru / bază de date 1 respective (resurse umane, PSI, autorizari / 1 3 5 Anexa 1
suport pentru sisteme
aferente avizari autoritati locale)
Categoria 4 - riscuri operaționale EXTERNE
Conducerea executivă
Conducerea Inexistenta unui back-up pentru persoanele cheie
Stație de lucru / bază de date 3 Pierderea persoanelor cheie 1 3 7 Anexa 1
societatii din companie. Proceduri de recrutare ineficiente.
Sistem front-office / Stație de
lucru / bază de date / sisteme erori de introducere manuală sau
Conducerea cunostinte si pregătire insuficiente a
informatice importante / Alte 3 de utilizare neadecvată a 1 3 7 Anexa 1
societatii personalului financiar contabil
sisteme informatice sistemelor informatice
importante
Sistem front-office / Stație de
lucru / bază de date / sisteme Stergerea accidentala a cunostinte si pregătire insuficiente a
Conducerea
societatii
informatice importante / Alte 3 informatiilor stocate in bazele de personalului financiar contabil. Management 1 3 7 Anexa 1
sisteme informatice date impropriu al drepturilor de acces in aplicatie
importante
Relatia cu clientii
Sistem front-office / Stație de
Personal si lucru / bază de date / sisteme Vanzarea de produse Functionarea defectuoasa a sistemelor de front
activitati informatice importante / Alte 3 necorespunzatoare clientilor office. Incadrarea defectuoasa in categoriile de 1 3 7 Anexa 1
front-office sisteme informatice respectivi risc pentru clientii noi.
importante
Personal si Sistem front-office / Stație de erori de introducere manuală sau
cunostinte si pregătire insuficiente a
activitati lucru / bază de date / sisteme 3 de utilizare neadecvată a 1 3 7 Anexa 1
personalului financiar contabil
front-office informatice importante / Alte sistemelor informatice
35
sisteme informatice
importante
Sistem front-office / Stație de
Personal si lucru / bază de date / sisteme Stergerea accidentala a cunostinte si pregătire insuficiente a
activitati informatice importante / Alte 3 informatiilor stocate in bazele de personalului financiar contabil. Management 1 3 7 Anexa 1
front-office sisteme informatice date impropriu al drepturilor de acces in aplicatie
importante
Operatiuni
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme întreruperi în furnizarea Lipsa sistemelor de back-up pentru energie
activitati informatice importante / Alte 3 serviciilor prestate de furnizori electrica sau a liniilor secundare de 1 3 7 Anexa 1
operatiuni sisteme informatice externi telecomunicatii
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
Inexistenta unui back-up pentru persoanele cheie
activitati informatice importante / Alte 3 Pierderea persoanelor cheie
din companie. Proceduri de recrutare ineficiente.
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Vanzarea de produse Functionarea defectuoasa a sistemelor de front
activitati informatice importante / Alte 3 necorespunzatoare clientilor office. Incadrarea defectuoasa in categoriile de 1 3 7 Anexa 1
operatiuni sisteme informatice respectivi risc pentru clientii noi.
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Lipsa verificarilor eficace. Lipsa principiului
fraude și activități criminale
activitati informatice importante / Alte 3
externe
celor patru ochi. Management impropriu al 1 3 7 Anexa 1
operatiuni sisteme informatice drepturilor de acces in aplicatie.
importante
Sistem operatiuni / Stație de
pierderi datorate evenimentelor Lipsa sistem automat de detectie si stingere a
Personal si lucru / bază de date / sisteme
catastrofice/dezastrelor naturale incediilor
activitati informatice importante / Alte 3
sau generate de oameni ori Lipsa sistem supraveghere video
2 3 8 Anexa 1
operatiuni sisteme informatice
factori din afara organizației Defectiune hardware
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme
atacuri teroriste clasice sau Lipsa sistemelor de siguranta si de back-up a
activitati informatice importante / Alte 3
informatice sistemelor informatice critice
1 3 7 Anexa 1
operatiuni sisteme informatice
importante
Sistem operatiuni / Stație de
Personal si
lucru / bază de date / sisteme criminalitate economică și/sau Lipsa sistemelor de siguranta si de back-up a
activitati
informatice importante / Alte
3
informatică sistemelor informatice critice
1 3 7 Anexa 1
operatiuni
sisteme informatice
36
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Lipsa sistemelor de back-up pentru energie
căderi ale alimentarii cu
activitati informatice importante / Alte 3
electricitate
electrica sau a liniilor secundare de 1 3 7 Anexa 1
operatiuni sisteme informatice telecomunicatii
importante
Sistem operatiuni / Stație de
Lipsa sistem automat de detectie si stingere a
Personal si lucru / bază de date / sisteme
expuneri externe ale securității incediilor
activitati informatice importante / Alte 3
sistemelor Lipsa sistem supraveghere video
1 3 7 Anexa 1
operatiuni sisteme informatice
Defectiune hardware
importante
Sistem operatiuni / Stație de
Personal si lucru / bază de date / sisteme Neconformitatea cu reglementarile legale
servicii necorespunzătoare de
activitati informatice importante / Alte 3
suport pentru sisteme
respective (resurse umane, PSI, autorizari / 1 3 7 Anexa 1
operatiuni sisteme informatice avizari autoritati locale)
importante
Financiar - contabilitate
Sistem financiar contabil /
Personalul si
Stație de lucru / bază de date / Lipsa verificarilor eficace. Lipsa principiului
activitati fraude și activități criminale
financiar
sisteme informatice 2
externe
celor patru ochi. Management impropriu al 1 3 6 Anexa 1
importante / Alte sisteme drepturilor de acces in aplicatie.
contabile
informatice importante
Functii cheie ale entitatii
Sistem cheie / Stație de lucru /
pierderi datorate evenimentelor Lipsa sistem automat de detectie si stingere a
Functii cheie bază de date / sisteme
catastrofice/dezastrelor naturale incediilor
si activitati informatice importante / Alte 3
sau generate de oameni ori Lipsa sistem supraveghere video
2 3 8 Anexa 1
aferente sisteme informatice
factori din afara organizației Defectiune hardware
importante
Sistem cheie / Stație de lucru /
Functii cheie bază de date / sisteme
atacuri teroriste clasice sau Lipsa sistemelor de siguranta si de back-up a
si activitati informatice importante / Alte 3
informatice sistemelor informatice critice
1 3 7 Anexa 1
aferente sisteme informatice
importante
Sistem cheie / Stație de lucru /
Functii cheie bază de date / sisteme
criminalitate economică și/sau Lipsa sistemelor de siguranta si de back-up a
si activitati informatice importante / Alte 3
informatică sistemelor informatice critice
1 3 7 Anexa 1
aferente sisteme informatice
importante
Sistem cheie / Stație de lucru /
Functii cheie Lipsa sistemelor de back-up pentru energie
bază de date / sisteme căderi ale alimentarii cu
si activitati
informatice importante / Alte
3
electricitate
electrica sau a liniilor secundare de 1 3 7 Anexa 1
aferente telecomunicatii
sisteme informatice
37
importante
Tehnologia informatiei
Lipsa sistem automat de detectie si stingere a
Stație de lucru / bază de date /
Personal si expuneri externe ale securității incediilor
sisteme IT
sisteme informatice 2
sistemelor Lipsa sistem supraveghere video
1 3 6 Anexa 1
importante
Defectiune hardware
Suport
Functii suport Neconformitatea cu reglementarile legale
servicii necorespunzătoare de
si activitati Stație de lucru / bază de date 1 respective (resurse umane, PSI, autorizari / 1 3 5 Anexa 1
suport pentru sisteme
aferente avizari autoritati locale)
38
Tratarea riscurilor (masuri de control ale riscurilor propuse pentru reducerea riscurilor) (exemplu)
Prob.
Nr. Eveniment Vulnerabilitate Nivel Nivel Mãsuri de control al riscului
Amenințare prod.
Crt nedorit asociatã Impact risc
even.
1. Producerea Incendiu Absența unui sistem automat de Mica Mare Mediu Implementate
unui incendiu detectie si stingere a incendiului. -Verificarea si intreținerea instalațiilor.
-Existenta procedurilor de creare a fișierelor de back –up care vizeza frecvența, tipul de back-up,
persoanele autorizate și verificarea periodicã.
1. -Exista BCP, locatie alternativa de procesare a datelor.
2. - Instruirea personalului autorizat al sistemului privind modul de acțiune la incendiu.
3.
Masuri viitoare
4.-Existența unor mijloace automate de detectie si stingere a incendiului
5.-Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de
evenimente
6. -Existenta unui spatiu alternativ de reluare a activitatii pentru personal.
2. Producerea Cutremur Lipsa planurilor de continuare a Mica Mare Mediu Implementate
unui activitatii sau a procedurilor de 1. -Structura de rezistențã a clãdirii este solidã.
cutremur recuperare /refacere a informatiilor 2. -Pereții exteriori și despãrțitori ai camerelor în care sunt instalate echipamentele sistemului sunt din
in caz de cutremur materiale solide.
- -Existenta procedurilor de creare a fișierelor de back –up care vizeza frecvența, tipul de back-up, persoanele
autorizate și verificarea periodicã.
7. -Exista BCP, locatie alternativa de procesare a datelor.
Masuri viitoare
1. -Instruirea personalului autorizat al sistemului privind modul de acțiune in caz de cutremur.
8. -Realizarea unor contracte de furnizare echipamente de calcul, birotica, in cazul producerii unor astfel de
evenimente.
3. Alimentarene Cãderi ale Lipsa surselor neîntreruptibile de Mica Mare Mediu Implementate
corespunzãto tensiunii de alimentare cu energie electrica. 1. -Serverele de backup se afla intr-o locatie de tip data center avand disponibilitate de X%
are cu alimentare 2. -Toate serverele sunt prevazute cu UPS
energie
electrica Masuri viitoare
- implementare replicare sincrona intre sediul central si datacenter
-achizitionare generator electric
39
Prob.
Nr. Eveniment Vulnerabilitate Nivel Nivel Mãsuri de control al riscului
Amenințare prod.
Crt nedorit asociatã Impact risc
even.
4. Copierea Dezvaluire Acces neautorizat - Copierea Mica Mare Mediu Implementate
neautorizatã informatii neautorizatã de date / software -Existenta IDS, antivirus, Firewall.
de date / -Instruirea continua a personalului.
software -Backup periodic al datelor in data center conform procedurilor operationale existente
Masuri viitoare
1. -Utilizatorii cu drepturi de acces limitate ai sistemului trebuie sã aibã o pregãtire corespunzãtoare privind
utilizarea resurselor și serviciilor sistemului.
2. -De asemenea trebuie resprectata politica de securitate existenta.
3. -In zona serverelor si nu numai accesul se va face pe baza de cartela magnetica.
Configurarea necorespunzãtoare a Mica Mare Mediu Implementate
funcțiilor de securitate ale - Exista elaborata o politica de securitate care sã ținã cont de rolul și misiunea sistemului, grupele de
sistemelor de operare. utilizatori autorizați ai sistemului și de aplicarea principiului necesitãții de a cunoaște.
-Exista elaborarta o procedura de creare a fișierelor de back –up care sã vizeze frecvența, tipul de back-up,
Erori de
persoanele autorizate și verificarea periodicã a fișierelor de back-up.
operare ale
-S-a creat o locatie alternativa de backup in DataCenter-ul X
personalului Lipsa fișierelor de back-up. Mica Mare Mediu - Toate update-urile pe aplicatiile software se testeaza pe mediul de test inainte de implemtarea in mediul
de productie
Utilizarea Pregãtire de specialitate Mica Mediu Mic
necorespunzã necorespunzãtoare a personalului. Masuri viitoare
toare a Configurarea necorespunzãtoare a Mica Mare Mediu
1. -Cursuri de specialitate
resurselor și funcțiilor de securitate ale
5.
serviciilor Erori de sistemelor de operare.
sistemului programare Lipsa fișierelor de back-up. Mica Mare Mediu
(erori de Pregãtire de specialitate Mica Mare Mediu
utilizare) necorespunzãtoare a personalului.
Lipsa fișierelor de back-up. Mica Mare Mediu
Modificãri
neautorizate Pregãtire de specialitate Mica Mare Mediu
ale software- necorespunzãtoare a personalului.
ului
40